Uralt-Bugs in WinRAR lassen Schadcode auf Computer

  • TIPP

  • mad.de
  • 1026 Aufrufe 2 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Uralt-Bugs in WinRAR lassen Schadcode auf Computer

    Das alleinige Entpacken von Archiven mit WinRAR kann ganze Computer kompromittieren. Eine reparierte Beta-Version schafft Abhilfe.

    Das Packprogramm WinRAR ist über 19 Jahre alte Sicherheitslücken attackierbar. Nutzen Angreifer die Schwachstellen aus, könnten sie Schadcode ausführen und so die Kontrolle über Computer erlangen. Mittlerweile haben die Entwickler die Bugs beseitigt und man kann eine abgesicherte Ausgabe herunterladen.

    Sicherheitsforscher von Checkpoint sind mithilfe von Fuzzing-Tools – damit spürt man Fehler in Software auf – auf die Sicherheitslücken (CVE-2018-20250, CVE-2018-20251, CVE-2018-20252, CVE-2018-20253) gestoßen.
    Die Bugs finden sich in der Programmbibliothek unacev2.dll, die WinRAR zum parsen von ACE-Archiven nutzt. Die Bibliothek wurde im Jahr 2006 ohne Sicherheitsmechanismen wie Address Space Layout Randomization (ASLR) kompiliert. Wie die Sicherheitsforscher darauf kommen, dass WinRAR seit 19 Jahren über diese Fehler attackierbar ist, ist unklar. Wahrscheinlich gibt es die verwundbare Bibliothek einfach schon länger.

    Trojaner im Autostart
    Die Sicherheitsforscher konnten einen Directory-Traversal-Angriff ausführen. Sie haben einen Exploit entwickelt, der dafür sorgt, dass wenn ein Opfer ein präpariertes ACE-Archiv entpackt, die Daten im Autostart von Windows landen. Handelt es sich dabei um einen Trojaner, führt Windows diesen nach dem nächsten Neustart aus. Weitere Details zur ihrer Vorgehensweise haben die Sicherheitsforscher in einem Beitrag festgehalten. Ob das auch unter Linux und macOS funktioniert, ist derzeit nicht bekannt.

    Da die WinRAR-Entwickler eigenen Angaben zufolge keinen Zugriff auf den Source Code der verwundeten Bibliothek haben, flog sie mitsamt der Unterstützung für ACE-Archive aus der Version 5.70 beta 1 raus. Das geht aus dem Changelog von WinRAR hervor.
    Offensichtlich ist die aktuelle Stable-Version 5.61 noch auf diesem Weg angreifbar.

    Quelle: Uralt-Bugs in WinRAR lassen Schadcode auf Computer | heise online

  • Jetzt patchen! Angreifer schieben Backdoor durch WinRAR-Lücken

    Sicherheitsforscher sind auf einen Exploit gestoßen, der WinRAR im Visier hat. Angriffe auf Windows-PCs sind aber nicht ohne Weiteres erfolgreich.

    Wer das Packprogramm WinRAR nutzt, sollte die aktuelle Version WinRAR 5.70 installieren (derzeit nur englische Version verfügbar). Darin haben die Entwickler Sicherheitslücken geschlossen, über die Angreifer Schadcode auf Computer schieben und ausführen können – und genau das passiert derzeit.

    Aktuelle Malware-Kampagne
    Sicherheitsforscher von 360 Threat Intelligence Center berichten auf Twitter von einer Malware-Kampagne gegen Windows-Computer mit verwundbaren WinRAR-Versionen. Sie sind auf eine E-Mail mit einem präparierten RAR-Archive gestoßen – dabei handelt es sich aber um ein lediglich umbenanntes ACE-Archiv. Das Ausmaß der Kampagne ist derzeit unbekannt.

    Entpackt ein Opfer dieses Archiv, soll eine Backdoor unter ProgramData im Autostart von Windows landen und nach dem nächsten Reboot aktiv sein. Ab diesem Zeitpunkt könnten Angreifer befallene Computer fernsteuern.

    Das Platzieren im Autostart klappt aber nur ohne Sicherheitsnachfrage, wenn die Benutzerkontensteuerung (UAC) von Windows deaktiviert ist. Beispielsweise unter Windows 10 ist der Schutz standardmäßig aktiv und der Entpackvorgang des präparierten Archivs löst eine UAC-Nachfrage aus, ob man wirklich in diesen Ordner schreiben will. Klickt man auf "Nein", gelangt der Schädling nicht in den Autostart. Aus Sicherheitsgründen ist es generell empfehlenswert, UAC auf die höchste Stufe zu stellen.

    Uralt-Lücke
    Die Schwachstellen sind bereits 19 Jahre alt und finden sich im Umgang mit ACE-Archiven. Wie dieser Fall nun zeigt, funktioniert eine Attacke aber offensichtlich auch mit RAR-Archiven. Setzen Angreifer an den Lücken an, können sie einen Directory-Traversal-Angriff ausführen und so Schadcode in diversen Ordnern platzieren. In der reparierten Beta-Version haben die WinRAR-Entwickler die ACE-Unterstützung gestrichen und so die Schwachstelle aus dem Weg geräumt.

    [UPDATE, 26.02.2019 11:30 Uhr]
    Mittlerweile ist die abgesicherte Stable-Version 5.70 von WinRAR erschienen – diese Ausgabe gibt es aber bislang nur in englischer Sprache. Rolle der präparierten RAR-Datei im Fließtext ergänzt.

    Quelle: Jetzt patchen! Angreifer schieben Backdoor durch WinRAR-Lücken | heise online